・IPsecとは
インターネット上でVPNを構築する際に使う。
共通鍵暗号化方式を用いて元のパケットを暗号化する。
・SA(Security Association)
個人同士がIPsecでやり取りするためのセキュリティ条件のこと。
相手を確認する符丁や鍵などを決めておく事。
・トランスポートモードとトンネルモード
-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない)
-トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される)
・IKE(Internet key
Exchange)
SAを決定する仕組み。
相手を認証し、自動で暗号鍵を渡す仕組み。
-メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。
-アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。
※具体的なIKEとしてISAKMPがある。
※メインモードでIPアドレスが固定さていいなければならない理由。
1、相手の認証フェーズではIPアドレスがIDに使われる。
2、メインモードではID(=IPアドレス)は暗号化される。
3、暗号化の為には事前共有鍵が必要。
4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。
以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。
アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。
・XAUTH(Extended Authentication witihin IKE)
ユーザー認証の仕組みをIKEに取り込んだもの。
フェーズ1の後でIDとパスワードによるユーザー認証を行う。
・IKEでのNAPTが経路上にある場合の問題
IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、鍵交換が出来ない。
・NATトラバーサル
ESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。
方法:新しいUDPヘッダをつける事で解決。
